References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2020.30.3.042

843

Система обнаружения вредоносного программного обеспечения на основе технологии машинного обучения

Malware detection system based on machine learning technology

0000-0001-9458-1093

Выборнова

Ольга Николаевна

Vybornova

Olga Nikolaevna

olga.vyb.90@gmail.com aff-1

Пидченко

Игорь Александрович

Pidchenko

Igor Alexandrovich

igor.pidchenko@gmail.com aff-2

Астраханский государственный университет Astrakhan State University

ООО «Экономатика» OOO» (limited liability company)

01 01 2026

1 1

10.26102/2310-6018/2020.30.3.042

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

Непрерывный рост числа вредоносных программ делает актуальной задачу их обнаружения: классификации программ на вредоносные и безопасные. В связи с этим, данное исследование посвящено разработке системы обнаружения вредоносного программного обеспечения на основе машинного обучения, а именно, обучения искусственной нейронной сети с учителем. В ходе исследования проведен анализ структуры исполняемых PE-файлов операционной системы Windows, выбраны характеристики из PE-файлов для формирования обучающего множества, а также выбраны и обоснованы топология (четырехуровневый персептрон) и параметры антивирусной нейронной сети. Для создания и обучения модели использовалась библиотека Keras. При формировании обучающего множества применялась база данных безопасного и вредоносного программного обеспечения Ember. Выполнено обучение и проверка адекватности обучения разработанной модели распознавания вредоносного кода. Результаты обучения предложенной в рамках исследования антивирусной нейронной сети показали высокую точность обнаружения вредоносных программ и отсутствие эффекта переобучения, что свидетельствует о хороших перспективах применения модели. Хотя экспериментальная модель нейронной сети пока не способна полностью заменить антивирусные сканеры, материалы статьи представляют практическую ценность для задач классификации программ на вредоносные и безопасные.

The continuous growth in the number of malicious programs makes the task of their detection urgent: classifying programs into malicious and safe. In this regard, this study is devoted to the development of a malware detection system based on machine learning, namely, training an artificial neural network with a teacher. In the course of the study, we analyzed the structure of Portable Executable files of the Windows operating system, selected characteristics from PE-files to form a training set, and also selected and substantiated the topology (four-level perceptron) and parameters of the antivirus neural network. The Keras library was used to create and train the model. The Ember dataset of safe and malicious software was used to form the training set. We have trained and verified the adequacy of training for the developed malicious code recognition model. The training results of the anti-virus neural network proposed in the study showed a high accuracy of malware detection and the absence of the overtraining effect, which indicates good prospects for using the model. Although the experimental model of a neural network is not able to fully replace the anti-virus scanners, the materials of the article are of practical value for the tasks of classifying programs into malicious and safe.

вредоносное по машинное обучение антивирусная нейронная сеть обучение нейронной сети keras, ember, dropout dropout

malware machine learning anti-virus neural network neural network training keras ember dropou

Исследование выполнено без спонсорской поддержки.

The study was performed without external funding.

References 1

Статистика. Kaspersky Securelist. Доступно по: https://statistics.securelist.com/ (Дата обращения: 30.08.2020).

Назаров А.В., Марьенков А.Н., Калиев А.Б. Выявление поведенческих признаков работы вируса-шифровальщика на основе анализа изменений значений параметров компьютерной системы. Прикаспийский журнал: управление и высокие технологии. 2018;1(41):196-204.

Saxe J., Berlin K. Deep Neural Network Based Malware Detection Using Two-Dimensional Binary Program Features. Proceedings of 10th International Conference on Malicious and Unwanted Software (MALWARE). 2015. Доступно по: https://arxiv.org/pdf/1508.03096v2.pdf DOI: 10.1109/MALWARE.2015.7413680 (Дата обращения: 29.08.2020).

Пидченко И.А., Выборнова О.Н. Применение машинного обучения совместно с эвристическим анализом для задач антивирусного сканирования. Математические методы в технике и технологиях – ММТТ. 2020;5:96-99.

PE Format. Доступно по: https://docs.microsoft.com/en-us/windows/win32/debug/peformat (Дата обращения: 29.08.2020).

Binary crossentropy. Peltarion. Доступно по: https://peltarion.com/knowledgecenter/documentation/modeling-view/build-an-ai-model/loss-functions/binarycrossentropy (Дата обращения: 30.08.2020).

Ember Dataset. Доступно по: https://github.com/endgameinc/ember (Дата обращения: 10.09.2020).

Library to Instrument Executable Formats. Доступно по: https://lief.quarkslab.com (Дата обращения: 10.09.2020).

Srivastava N., Hinton G., Krizhevsky A., Sutskever I., Salakhutdinov R. Dropout: A Simple Way to Prevent Neural Networks from Overfitting. Journal of Machine Learning Research. 2014;15:1929-1958. Доступно по: https://www.cs.toronto.edu/~hinton/absps/JMLRdropout.pdf (Дата обращения: 29.08.2020)

Ergo. Доступно по: https://github.com/evilsocket/ergo (Дата обращения: 10.09.2020)

The authors declare that there are no conflicts of interest present.